Uma gigantesca rede de aplicativos maliciosos distribuiu um malware espião a mais de 400 milhões de aparelhos com o sistema operacional Android. Disfarçado como jogos simples, utilitários e plataformas que ofereciam dinheiro ou prêmios, o malware agia nos bastidores para roubar arquivos, dados pessoais, números de cartão de crédito, carteiras de criptomoedas e outras informações dos usuários.
De acordo com um levantamento dos especialistas em segurança do Dr. Web, a campanha cibercriminosa era composta por 101 apps, que, juntos, acumularam mais de 421,2 milhões de instalações por meio da Google Play Store. Por trás dos spywares, entretanto, está um malware chamado SpinOk, que usa gamificação e elementos atrativos para manter os usuários ligados aos softwares criminosos.
Jogos de roleta ou caça-níqueis, tarefas diárias a serem realizadas e incentivos ao download de novos aplicativos que também traziam o malware eram algumas das artimanhas. Enquanto isso, a praga se conectava a servidores sob o controle de cibercriminosos para receber comandos e enviar as informações extraídas do celular dos usuários.
Alguns dos aplicativos, sozinhos, acumulavam mais de 100 mil downloads de acordo com os números oficiais da Google Play Store — quase todos já foram retirados do ar. A lista completa está disponível na página do Dr. Web no GitHub, mas estes são os mais populares e que chamaram a atenção dos pesquisadores:
Noizz: video editor with music;
Zapya – File Transfer, Share;
VFly: video editor&video maker;
MVBit – MV video status maker;
Biugo – video maker&video editor;
Crazy Drop;
Cashzine – Earn money reward;
Fizzo Novel – Reading Offline;
CashEM: Get Rewards;
Tick: watch to earn.
Os especialistas apontam ainda para o risco de vazamento de imagens privadas ou confidenciais, já que a galeria era um dos locais varridos pelo SpinOk. Além disso, informações de sensores, utilização do dispositivo e outros recursos também eram acessadas e poderiam ser compartilhadas pelo malware, ferindo ainda mais a privacidade das vítimas da campanha.
Desenvolvedores também podem ser vítimas
O alerta dos pesquisadores aponta que o SpinOK funciona como um kit de desenvolvimento de aplicativos, e a abrangência da campanha maliciosa indica que os responsáveis pelo app também podem ter sido ludibriados pelos criminosos. No entanto, sempre existe a hipótese de que eles, ainda que não envolvidos diretamente com o esquema, soubessem se tratar de um esquema malicioso, embutindo a o código maligno em seus softwares em troca de dinheiro.
Isso é evidenciado pelo fato de alguns dos aplicativos apontadas pelo Dr. Web contarem com o malware em versões anteriores, mas não nas mais recentes, nas quais o código foi removido completamente. A exclusão em massa de aplicações da Play Store também indica que o Google está ciente do risco.
Ainda assim, quem fez o download dos aplicativos antes de eles serem retirados do ar segue em perigo. A recomendação é desinstalar os softwares imediatamente e realizar uma varredura de segurança no smartphone Android, usando antivírus e outras soluções de proteção que possam detectar eventuais problemas ou brechas presentes no aparelho.